Chrome y Firefox registraron el robo de información de más de cuatro millones de usuarios a través de 50 empresas, según informó The Washington Post. La investigación titulada DataSpii, dirigida por Sam Jadali, experto en el tema, descubrió que un sitio web llamado Nacho Analytics —que se anunciaba como analista de marketing— comercializaba con los URLs de los usuarios por 49 dólares a través de las extensiones de ambos navegadores. El URL contenía información personal como nombre, coordenadas GPS, información personal e historial de búsqueda que los usuarios que eran proporcionados justo en el momento del registro de acceso de la extensión. De inmediato, las ocho extensiones acusadas de vender esta información fueron canceladas por Google y Firefox y, anunciaron una mayor seguridad para los usuarios.

El problema de robo y fraude de datos producto de ciberataques se convirtió en la segunda preocupación y riesgo global para 2019, de acuerdo con el Foro Económico Mundial (WEF). El organismo informó que si un corporativo no responde de manera inmediata o no cuenta con un sistema de seguridad eficiente para responder al ataque, el costo de recuperación puede ser de aproximadamente 1.2 millones de dólares. Además, alertó que los cibercriminales adoptan métodos cada vez más originales, inusuales y sigilosos para extraer información, “el delito cibernético representa grandes sumas para los delincuentes y, desafortunadamente, eso equivale a pérdidas significativas para la organización”, comentó Francisco García, Director de IBM Security en México.

Ejemplo de ello es lo sucedido en 2013, año en el que Yahoo vivió el que sería uno de los peores ataques cibernéticos jamás registrados. La compañía informó a Wall Street que fue víctima de un asalto informático les robaron datos de más de 1,000 millones de usuarios en todo el mundo. Un año después, esta cifra aumentó en 500 millones de cuentas. Especialistas y empleados de la empresa acusaron a su directora ejecutiva, Marissa Mayer, de anteponer la captación de tráfico de usuarios en el sitio web a la propia seguridad de las personas. Cinco años después, la empresa seguía sin tener la capacidad de detener los hackeos, ya que sufrió otro ataque. En esta ocasión afectó exclusivamente a usuarios de Reino Unido. En consecuencia, la Oficina del Comisionado de Información de dicho país multó a la empresa con 283,400 euros.

Con esta modalidad delictiva, tanto empresas como usuarios están en una situación de alta vulnerabilidad. En 2017, Uber, fue otra de las empresas que sufrieron ataques informáticos. Dos piratas se infiltraron al sistema de la firma durante un año para extraer 57 millones de perfiles de usuarios, 600 de los cuales, incluían información personal de conductores cuyos nombres, números de permisos de conducir, correos electrónicos y números de teléfono fueron sustraídos del almacén digital de la empresa sin que su departamento de seguridad se diera cuenta de la amenaza. Debido a que Uber ocultó el caso a los organismos correspondientes de Estados Unidos, la empresa tuvo que pagar 148 millones de dólares como sanción.

A la lista de casos se suma el de Equifax, uno de los más desastrosos. La empresa, dedicada al análisis de riesgos crediticios, fue víctima de dos jóvenes hackers apodados Past Hole Hacking Team, quienes detectaron un punto vulnerable en la aplicación de la compañía. El resultado: más de 200,000 números de tarjetas de crédito y más de 182,000 datos personales fueron robados con la amenaza de hacerlos públicos o venderlos la dark web, una porción de internet intencionalmente oculta a los motores de búsqueda, si no se pagaba la suma de dos millones de euros en bitcoins a los cibercriminales.

Para Francisco García, director de ciberseguridad de IBM México, el origen de este tema se remonta a la década de los ochenta. La primera representación del hacker, dice, era la de un joven de 15 a 18 años que tenía los conocimientos necesarios para tener acceso a un sistema que no debía. Años más tarde, y con el acelerado avance de la tecnología, ese joven hacker se convirtió en un profesional capaz de burlar los complejos sistemas de seguridad de grandes corporativos casi sin dejar rastro de su actividad.

De acuerdo con el estudio “Perspectiva de ciberseguridad en México” de 2018, elaborado por el Consejo Mexicano de Asuntos Internacionales (Comexi) junto con la consultora McKinsey & Company, se estima que, para 2019, el costo total anual de los delitos cibernéticos en la economía mundial sobrepasará los dos billones de dólares. Mientras tanto, la Condusef registró que en México el costo financiero del cibercrimen dejó una factura de 7,700 millones de dólares, que ha afectado a más de 33 millones de personas. Los delitos más comunes en nuestro país se relacionan principalmente con fraudes en comercio electrónico, con un total de 193,000 casos registrados, y en la banca móvil, con una cifra histórica de 3,682 casos.

Datos del Estudio sobre el Costo de una Brecha de Datos 2019 de IBM Security señalan que en los últimos cinco años aumentó 12% la brecha de datos —como suele llamarse a los puntos débiles en un sistema— y su costo promedio ha sido 3.92 millones de dólares. No importa si son grandes o pequeñas empresas, pues hay compañías con menos de 500 empleados que sufrieron pérdidas de más de 2.5 millones de dólares, y no se recuperan fácilmente de un golpe informático, sobre todo si sus utilidades suelen rondar los 50 millones de dólares o menos.

Aunque los ataques cibernéticos varían de uno a otro, sí hay ciertos patrones que los cibercriminales emplean para extraer información. En 2018, Trend Micro, una multinacional taiwanesa de ciberseguridad y defensa, detectó algunas de las prácticas más empleadas para el robo de información, entre ellas destacan:

•     Phishing: una técnica utilizada para extraer información privada al hacerse pasar por un comunicado confiable y legítimo de alguna empresa. Esta práctica aumentó 82% respecto a 2017. La trampa se envía por correo electrónico, el cual contiene una url que redirige a un sitio falso —parecido al original—, donde los usuarios introducen sus datos personales.
•     Ransomware: es un malware que impide que los usuarios entren a su sistema o  archivos personales, y que exige el pago de un rescate para tener acceso a ellos. La práctica de este tipo de estrategias se redujo en 91 % debido a los softwares que emplean las empresas para evitarlos.
•     Acceso por vulnerabilidades en los sistemas tecnológicos en cuanto al hardware y software.
•     Acceso debido a una deficiente configuración del sistema de seguridad

El objetivo principal de estos ataques se relaciona con la extracción de información de la nube. 70 % de las empresas usan este tipo de almacenamiento, así que es uno de los blancos preferidos de los cibercriminales. Según el “Reporte de adopción y riesgos de la nube”, de la empresa de seguridad McAfee, 80% de las organizaciones experimentan al menos una amenaza a la seguridad de su nube cada mes, debido a alguna vulnerabilidad o mala configuración del sistema de seguridad. Además, de todos los datos que suben las empresas a la nube, 21% es información sensible o confidencial, como contraseñas e información de pagos.

“Un ciberataque puede tardar años en efectuarse. Durante ese tiempo, los criminales usan herramientas que desencadenan una serie de acciones específicas para conocer cómo y de qué manera funciona un sistema. Cuando ya saben cómo funciona, infectan equipos, alteran procesos y después saltan a otros equipos para infectarlos, y así acceder a la información que estaban buscando”, señala García.

La ONU tipifica los casos de ciberdelitos en cinco categorías: la primera, como forma de extorsión o venta de información a otras organizaciones delictivas en la dark web; la segunda, más común en oficinas de gobierno, es el sabotaje informático, que implica que un intruso recupere o busque destruir información de una organización. La tercera es la piratería informática, que incluye la violación de derechos de autor, la apropiación de software y datos, y el acceso sin autorización a información de la empresa. En el mundo bancario es común el sabotaje de cajeros automáticos y tarjetas de crédito, que constituye la cuarta modalidad; y en lo individual, el robo de identidad, con el cual el criminal puede realizar todo tipo de operaciones, es la quinta categoría. 

Defenderse del cibercrimen

En México, la visión sobre seguridad digital está plasmada en la Estrategia Nacional de Ciberseguridad, que se publicó en 2017. Este documento enlista una serie de medidas y recomendaciones en materia de seguridad aplicadas en el ámbito social, económico y político para los sectores público y privado.

Andrés Velázquez es director y fundador de MaTTica, el primer laboratorio de combate a delitos informáticos en América Latina. En entrevista, explica que si bien en nuestro país el artículo 211 del Código Federal sanciona cualquier acceso ilícito, copia de información, modificación o destrucción de sistemas y equipos de informática, en términos de protección del usuario no hay un documento que sistematice una serie de normas para responder en caso de un ciberdelito. Destaca que la mayoría de las normas que podrían intervenir están dispersas en distintos marcos legislativos, como la Ley Federal de Protección al Consumidor o la Ley Federal de Protección de Datos Personales. 

“Hoy en día, legislar en temas de ciberseguridad es un asunto que involucra a todos, empresas, gobiernos y ciudadanos. A nivel organización hay que entender que la seguridad es un negocio en el cual se debe invertir. Hay que concientizar y educar a las empresas para prevenir y qué hacer en caso de un ciberataque”, explica Velázquez.

Algunos de los países en América Latina que han implementado prácticas de prevención son Argentina, República Dominicana, Colombia y Chile. Este último, en 2018, modificó su Ley de Seguridad Digital para adecuarla a los principios del Convenio de Budapest de 2001 —también conocido como Convenio sobre Cibercriminalidad—, los cuales establecen una modificación a los códigos penales para que se homologuen infracciones, normas, juicios y procesos de investigación, y se establezca un espacio común a esta ley en el plano internacional.

Si bien las empresas de ciberseguridad no pueden externar sus políticas o acciones para enfrentar amenazas, debido a que esto se convertiría en una nueva razón de vulnerabilidad, sí elaboran informes semestrales o anuales para dar a conocer sus estándares de seguridad. Así lo hace IBM, que mediante el informe “X-Force Threat Intelligence Index 2019”, reporta las medidas y los ejes que las empresas toman en cuenta para establecer medidas de seguridad, como la implementación de modelos de gestión y análisis para identificar posibles actores de amenazas, métodos de infección y riesgos probables para cada sistema de seguridad.

Google, por otro lado, utiliza el protocolo Offensive Security, con el cual simula ataques contra sí mismo. El objetivo es identificar amenazas que podrían tener éxito y construir defensas alrededor de sus productos. Respecto al usuario, la empresa emplea tres capas de seguridad. 

2. Prevención: se utiliza un buscador que detecta amenazas en Chrome, Android y Gmail.
3. Detección: activación de alarmas para el usuario. 
4. Mitigación: se controla y se limita el daño del ataque para que el usuario restablezca el control de su cuenta.

Uber también aprendió de sus errores y no sólo ha implementado cambios en su sistema, sino también en su política de seguridad de datos personales de los usuarios. Una de estas medidas fue la configuración “Números anónimos”, una opción que funciona como un puente entre el conductor y el usuario, en la que se usa un número aleatorio que evita que el número de teléfono real quede registrado en el sistema.

A finales de 2018, en México se creó el primer cibersecurity hub, que busca promover el desarrollo del ecosistema de seguridad cibernética en México y América Latina. Entre sus rubros está capacitar, investigar, brindar servicios y concientizar a los sectores público y privado sobre la importancia de la cultura de la ciberseguridad. Este organismo está compuesto por Citibanamex, Tec de Monterrey, Cisco, Deloitte, IBM, Thales y la Universidad de Texas en San Antonio. 

El tiempo, de acuerdo con IBM Scurity, es el factor más importante en un ataque cibernético. Entre mayor sea el tiempo de respuesta, mayores los costos y el impacto que pueda tener en la organización. Muchas de las empresas analizadas por IBM tardaron hasta 279 días en promedio para resolver una brecha de seguridad. 

Según Francisco García, “el verdadero reto de la ciberseguridad hoy día es planear acciones inmediatas, con mayor eficiencia, y detectar los posibles riesgos que tiene la tecnología que usa una compañía, pero eso sólo se logrará si las compañías se comunican bien con sus proveedores de seguridad ante cualquier anomalía”.

Tipos y porcentajes de información sensible que las empresas guardan en la nube: 

Fuente: McAfee.

También te puede interesar:

Ecofeminismo y ciberfeminismo

Tecnología + ciudades: la nueva generación urbana

El criptopunk que mira hacia Latinoamérica

Síguenos en Twitter